Zbytečná hysterie: platit kartou či na internetu půjde i po půli září

Jste zvyklí, že něco zaplatíte pomocí mobilu či internetového bankovnictví, na mobil vám přijde SMS, v ní kód, který vložíte buď do aplikace či počítače a platba proběhne? Od tohoto víkendu vám to nebude stačit.

V souvislosti s evropskou legislativou PSD2, která je v Česku účinná od 13. ledna 2018, totiž po 18 měsících od zmíněného data vstupuje v účinnost část o platebním styku. Online platební transakce nově čeká povinnost dvoufaktorového ověření plátce.

Jedním z důvodů, proč již SMS nebude stačit je i zastaralost této funkcionality. Protokol využívající potvrzení platby zasláním PIN přes SMS v internetovém bankovnictví byl totiž vyvinut v roce 2001. Bezpečnostní situace uživatelů ale od té doby vyžadují daleko sofistikovanější řešení.

Dvě kritéria ze tří

Při zadání platby bude muset nově zákazník prokázat svoji identitu prostřednictvím alespoň dvou ze tří kritérií. Zmíněnými třemi faktory ověření jsou znalost, držení a inherence.

U prvního z nich to znamená, že uživatel musí znát něco, co nikdo jiný nezná – tedy například heslo nebo PIN. Faktor držení znamená, že uživatel má nějaký prostředek přímo fyzicky – tedy např. platební karta nebo stále hojněji používaný mobil. Inherence můžeme „přeložit“ jako biometrickou identifikaci – tedy otisk prstu, rozpoznání obličeje, popř. oční duhovky nebo hlasovou identifikaci k ověření platby.

Většina bank působících na českém trhu už nový způsob tzv. silného autentikace (SCA – strong client autentication) plateb postupně nabízí nebo jej během léta zařadí do nabídky.

„Tematiku řeší interně prakticky všechny české banky, ať už jako rozšíření jejich aplikací e-bankingu, nebo jako samostatné aplikace, které jsou jakýmsi bezpečnostním klíčem v mobilu, využitým právě k autorizaci transakcí“, říká Jan Procházka ze společnosti Lunde, která se zaměřuje na dodávku inovativních digitálních řešení především do finančního sektoru.

Banky a biometrie

Využití biometrie, jako bezpečnostního a ověřovacího prvku, nahrál i rozvoj digitálních technologií, především chytrých telefonů a dalších nositelných zařízení. Bylo logické, že nebude trvat dlouho, aby začaly fungovat jako ochranný prvek uživatele v nejrůznějších oblastech – včetně digitálních plateb.

Otisk prstu, či rozpoznání obličeje tak v reálu může nahradit nebo doplnit potvrzování totožnosti pomocí SMS, či ověřovacího kódu. Právě pro podobné ověřování připravila např. společnost Mastecard řešení s názvem Mastercard Identity Check Mobile, které nabídl bankám pro využití v jejich bankovních aplikacích.

Jiné banky si řešení vyrábějí samy, například ČSOB nabízí ve svém Smartbankingu otisk prstu a FaceID. „Pro klienty jde o bezpečné, jednoduché a rychlé on-line bankovnictví, které je dostupné nejenom na tabletech a smartphonech, ale i na chytrých hodinkách,“ dodává Michaela Lhotková, výkonná ředitelka pro oblast platebního řešení v ČSOB.

Jiné banky jako např. Česká spořitelna nebo Komerční banka zase bezpečnost řeší prostřednictvím zvláštní aplikace. „S aplikací George klíč není pro potvrzování plateb potřeba složitě přepisovat SMS kódy a aplikace poskytuje ochranu před phishingovými útoky, kdy se útočníci pomocí falešných emailů nebo webů snaží od klientů vylákat například kód pro potvrzení platby z SMS zprávy,” říká Filip Zeman, ředitel digitálních služeb v České spořitelně.

Právní nejistota u SMS

V souvislosti s nastávajícím zářijovým termínem, a tedy datem povinného zavedení dvoufaktorového zabezpečení však panovala hlavně pro banky určitá nejistota kolem ověřování pomocí SMS. Dlouho totiž nabylo jasné, zda SMS kód a údaje na kartě, popř. i odemknutí mobilu uživatelem, mohou být považovány za dva různé údaje, jak vyžaduje směrnice.

Evropský orgán pro bankovnictví (EBA) však vydal výklad, který převzala do své interpretace i Česká národní banka (ČNB). Podle něj používaná kombinace SMS kódu a údajů na kartě nevyhovuje, i přesto, že v reálu jde o dva různé faktory. EBA argumentuje tím, že číslo karty totiž nemusí znát jen uživatel, tudíž ho může zneužít třetí osoba.

Podle odborníků je pravděpodobné, že po opsání SMS kódu, který uživateli přijde bezprostředně po transakci, bude muset být vloženo i speciální heslo (něco jako PIN).

„V ten moment ale jakékoli zjednodušení procesu platby mizí. Navíc nová pravidla zakazují, aby se uživatel nebo ten, kdo zadává kombinaci hesla a SMS, dozvěděl, v kterém ze dvou údajů udělal chybu,“ říká Michal Jelínek, ze společnosti BSC, která pomáhá bankám s digitální transformací.

Evropská interpretace legislativy

Nicméně jak podotýká Libor Slouka z Mastercard výklad není zcela jasný ani po interpretaci EBA. Po letošním září totiž zůstane hodně lidí, kteří nechtějí nebo nepoužívají bankovní aplikaci, nebo dokonce nemají ani dostatečně chytrý telefon schopný poznat např. otisk prstu.

„Stále čekáme na vyjasnění směrnice, co přesně lze akceptovat. Věříme, že nový standard EMV 3-D Secure (EMV 3DS) v kombinaci s SMS bude dostatečný pro tzv. silné ověření silné,“ tvrdí Slouka. Standard totiž kromě biometrie používá k ověření také datovou analýzu postavenou na datech o reálném chování uživatele přenesených v rámci EMV 3DS a právě SMS.

Oba odborníci zároveň upozorňují, že tzv. silné ověření není vždy potřeba, ale že PSD2 povoluje některé výjimky. Jde hlavně o menší platby – do 30 eur (necelých 800 korun). Dále pokud celková suma od posledního silného ověření nepřesáhne 100 eur (zhruba 2600 korun) nebo nepůjde o více než pátou platbu.

Nutnost potvrzení nebude potřeba ani u opakujících se transakcí (typicky trvalý příkaz – prodlužování předplatného). Vybrané konkrétní příjemce peněz si také bez potřeby silného ověření může uživatel označit jako důvěryhodné.

Velký bratr, nebo velký ochránce?

Navíc stále důležitější roli bude hrát analýza postavená na reálných datech o chování uživatele. „Behaviorální zabezpečení, resp. analýza chování klienta v reálném čase je budoucností bankovnictví,“ tvrdí Michal Jelínek z BSC.

Informační systémy bank totiž kromě modernizovaných ověřovacích procesů plateb dokáží u uživatele v reálu vysledovat odchylky od jeho typického chování při platbách. Systém dokáže sledovat polohu mobilu klienta, rychlost jím zadávaného hesla, chybovost při zadávání a podobně.

Banka již nyní ví o klientovi, že pravidelně nakupuje v obchodech určité městské části nebo kde občas vybere hotovost z bankomatu. V momentě, kdy ale zaplatí mobilem na druhém konci Evropy, tak systém banku upozorní. A ta může upozornit klienta, popř. požadovat potvrzení transakce.

„Systém dokonce dokáže rozlišit, kdy je klient nemocný nebo dokonce opilý, což se může projevovat na pomalejším, či nepřesnějším zadávání hesla. V ten moment mu může zablokovat platbu, nebo požadovat její ověření,“ dodává Jelínek.

A právě behaviorální ověřování je jednou z dalších výjimek u zaváděné směrnice. Silné ověření není totiž potřeba u tzv. transakcí s nízkou mírou rizika. Tu může stanovit právě monitoring chování uživatele. Když se tedy uživatel bude „patřičně chovat,“ ověření netřeba.

Problém jménem terminály?

Na to, že zavedení nepůjde zcela hladce, však upozornila pár dní před 14. zářím i ČNB. Podle jejího sdělení mohou platební terminály zamítat některé bezkontaktní platby kartami do 500 korun bez informace o důvodu zamítnutí.

Důvodem je podle centrální banky skutečnost, že některé platební terminály nemusí být na nová pravidla připraveny. Na českém trhu je zhruba 180 tisíc platebních terminálů, ne všechny ale mají natolik aktualizovaný software, kvůli čemuž může být platba odmítnuta.

„Jen část terminálů je vybavena systémem 3D Secure. Podle našich odhadů je ale připraveno zhruba 50 procent terminálů, u zbytku mohou u bezkontaktních plateb nastat problémy, které vyřeší zasunutí  karty do terminálu a potvrzení PIN kódem,“ dodává Jan Dachovský z České spořitelny.

I z tohoto důvodu dostane implementace regulace ještě v určitou dobu hájení. To jak bude dlouhá určí evropské regulační orgány.

Čekání na dodatečnou lhůtu

„V současné době se již většina členských států včetně Česka vyjádřila pro podporu zavedení dodatečného období. Stanovení přechodného období je v současné době v projednávání na evropské úrovni, jelikož je nutné zajistit jednotnou lhůtu, aby se harmonizovalo zavedení napříč všemi členskými státy,“ dodal k tomu Luděk Slouka, ředitel rozvoje produktů a inovací Mastercard pro Českou republiku, Slovensko a Rakousko.

Podle něj se však přísnější ověřování karetních plateb nevztahuje na platby v městské hromadné dopravě a na platby za parkování.

Na jedné straně tedy směrnice PSD2 určuje jasné mantinely, ale na straně druhé dává dostatek prostoru (výjimek), aby se z online plateb nestalo pro zákazníky peklo.